sazdanie_sertifikatov_ssl_tls_dlya

Саздание сертификатов SSL (TLS) для сайта

Генерация корневого приватного ключа

openssl genpkey -algorithm RSA -out rootCA.key

-out используется для вывода ключа в файл
Использование дополнительных параметров шифрования, AES 128 бит и дополнительный пароль шифрования:

openssl genpkey -algorithm RSA -out rootCA.key -aes-128-cbc -pass pass:test

Список алгоритмов шифрования можно получить командой:
man enc
По умолчанию при генерации ключа используется 2048 бит, это число можно изменить дополнительным параметром команды:

openssl genpkey -algorithm RSA -out rootCA.key -pkeyopt rsa_keygen_bits:4096

Создание самодписанного корневого сертификата CA:

Данный сертификат (rootCA.crt) генерируется на основе уже созданного корневого ключа: rootCA.key

openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.crt

Созданный сертификат нужен для всех узлов, которые хотят доверять CA.
Последнюю команду необходимо выполнять для каждого клиента которому нужен доверенный сертификат CA.

Создать приватный ключ для сертификата web-сервера

openssl genpkey -algorithm RSA -out mydomain.com.key

Создать файл csr-запрос на получение сертификата и подпись CA

На основе приватного(закрытого) ключа можно отправить Certificate Signing Request (CSR) - запрос на подпись в центр сертификации. Этот файл содержит публичный(открытый) ключ подписанный соответствующим ему закрытым ключом и другую информацию узла(отличительные признаки).
Создание CSR требует вводить в интерактивном режиме отличительные признаки сертификата(домен, страна, почта ...). Чтобы не оставлять поле пустым, необходимо оставить хотябы точку.
При генерации CSR необходимо указать common name доменное имя для которого создается сертификат.

openssl req -new -key mydomain.com.key -out mydomain.com.csr

Следующая команда не требует ввода, так отличительные признаки передаются в команде

openssl req -new -sha256 -key mydomain.com.key -subj "/C=US/ST=CA/O=MyOrg, Inc./CN=mydomain.com" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:mydomain.com,DNS:www.mydomain.com")) -out mydomain.com.csr

Проверка запроса csr

Может понадобиться перед отправкой на подпись в CA

openssl req -in mydomain.com.csr -noout -text

Создание сертификата

1.У меня есть CA(центр сертификации или самоподписанный сертификат) и его корневой приватный ключ(закрытый ключ)
2.Есть приватный ключ сервера и созданный на его основе csr(mydomain.com) файл.
Отправить запрос созданный csr на подпись в CA и получить .crt для сервера.

openssl x509 -req -in mydomain.com.csr -CA ../rootCA.crt -CAkey ../rootCA.key -CAcreateserial -out mydomain.com.crt -days 500 -sha256

Подытожим

rootCA.key — закрытый(приватный ключ) CA(Центра Сертификации)
rootCA.crt — открытый(публичный) корневой сертификат CA(Центра Сертификации) — должен быть установлен на всех клиентах
mydomain.com.key — приватный ключ веб-сайта, храниться на web-сервере.
mydomain.com.csr — запрос(csr) на подпись сертификата
mydomain.com.crt — публичный сертификат сайта

Продолжение

Проверить валидность сертификата для домена можно здесь: https://www.ssllabs.com/ssltest/analyze.html?d=netbash.ru